Plataforma “21 Buttons” expõe em falha milhares de registos dos utilizadores

Existem algumas aplicações que tendem a criar um nicho no mercado, e a 21 Buttons é uma delas. Esta rede social conta encontra-se focada na partilha de conteúdos relacionados com moda e beleza, e possui mais de 5 milhões de downloads na sua app oficial na Play Store.

No entanto, foi recentemente descoberta uma vulnerabilidade que pode ter comprometido milhares de utilizadores nesta plataforma. De acordo com a análise do portal vpnMentor, os investigadores descobriram no passado dia 2 de Novembro de 2020 uma falha sobre um bucket da Amazon, usado pela plataforma para armazenar dados dos utilizadores, que estaria a comprometer os mesmos.

Os investigadores revelaram ter descoberto que um bucket da AWS mal configurado estava a permitir o acesso público a mais de 50 milhões de ficheiros, entre os quais se encontram dados dos utilizadores desta plataforma. Entre os dados acessíveis estariam nomes completos, moradas, contas do PayPal, fotos e vídeos.

Apesar de muitos dos dados estarem já disponíveis publicamente na plataforma, o acesos a este bucket estaria a permitir uma recolha consideravelmente mais simples da informação por utilizadores maliciosos – o que se desconhece, para já se terá sido usado para esse fim.

O mais grave desta situação encontra-se no facto que tanto a 21 Buttons como a Amazon ignoraram o alerta fornecido pelos investigadores. As empresas foram notificadas pela vpnMentor no dia em que a falha foi descoberta, mas apenas um mês mais tarde, a 22 de dezembro, é que a 21 Buttons decidiu responder a informar que iria analisar o caso.

É importante sublinhar que a 21 Buttons trata-se de uma entidade baseada em Espanha, e como tal encontra-se abrangida pela legislação do RGPD, o que esta falha pode ser considerada uma violação da mesma.